CVE-2026-11802 in FoodBook Lite Plugin
要約
〜によって VulDB • 2026年07月14日
WordPress用プラグイン「FoodBook Lite - Online Food Ordering System」の1.5.6以前の全バージョンにおいて、Missing Authorization(認可欠如)の脆弱性が存在します。wp_ajax_nopriv_registration_action AJAXアクションを介してアクセス可能なregistration()関数は、nonce検証や権限チェックを行っておらず、wp_insert_user()呼び出し前にWordPressのusers_can_registerオプションも確認しません。これにより、サイト管理者がユーザー登録を明示的に無効にしている場合でも、認証されていない攻撃者が「customer」ロールを持つ新しいユーザーアカウントを作成し、認証クッキーを取得することが可能になります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.